WannaCry epidemija

Šta se desilo?

Nekoliko velikih organizacija prijavilo je infekciju istovremeno. Među njima je nekoliko britanskih bolnica koje su morale da suspenduju svoje operacije. Prema podacima trećih lica, WannaCry je zaražio više od 200.000 računara. Veliki broj infekcija je veliki deo razloga zbog kojeg je privukao toliko pažnje.

Napomena: Ovaj post je preuzet sa bloga zvaničnog sajta Kaspersky i preveden “google translate english to serbian”Smatramo  da je tekst vrlo zanimljiv i prenosimo ga u celosti.

                                                                                                / Fismod tim /

Pre nekoliko dana bio je početak trojanskog šifriranja WannaCry epidemije. Izgleda da je pandemija – globalna epidemija. Za samo jedan dan brojali smo više od 45.000 slučajeva napada, ali pravi broj je mnogo veći.

Šta se desilo?

Nekoliko velikih organizacija prijavilo je infekciju istovremeno. Među njima je nekoliko britanskih bolnica koje su morale da suspenduju svoje operacije. Prema podacima trećih lica, WannaCry je zaražio više od 200.000 računara. Veliki broj infekcija je veliki deo razloga zbog kojeg je privukao toliko pažnje.Najveći broj napada dogodio se u Rusiji, ali su Ukrajina, Indija i Tajvan pretrpeli veliku štetu od WannaCry-a. Samo u prvom danu napada našli smo WannaCry u 74 zemlje.

Šta je WannaCry?

Generalno, WannaCry dolazi u dva dela. Prvo, to je eksploatacija čija je svrha infekcija i širenje. Drugi deo je šifrovalac koji se preuzima na računar nakon što je inficiran.Prvi deo je glavna razlika između WannaCry-a i većine šifriranja. Da bi zarazio računar sa uobičajenim šifrirom, korisnik mora pogriješiti, na primjer klikom na sumnjivu vezu, dozvoljavajući Vredi da pokrene maliciozni makro ili preuzme sumnjivi prilog iz e-mail poruke. Sistem može biti inficiran sa WannaCry-om bez toga što korisnik nešto čini.

WannaCry: eksploatacija i razmnožavanje

Kreatori WannaCry su iskoristili Windows eksploataciju poznatu pod nazivom EternalBlue, koja se oslanja na ranjivost koju je Microsoft pokrenuo u sigurnosnom ažuriranju MS17-010 od 14. marta ove godine. Korišćenjem eksploatacije, malefaktori mogu dobiti udaljeni pristup računarima i instalirati šifru.Ako ste instalirali ispravku, ta ranjivost više ne postoji za vas, a pokušaji hakovanja računara na daljinu putem ranjivosti neće uspeti. Međutim, istraživači iz GReAT (Global Research & Analysis Team) iz Kaspersky Laba žele da naglase da uklanjanje ranjivosti neće u potpunosti odvratiti šifru. Zbog toga, ako ga nekako pokrenete (pogledajte gornje greške), onda vam to neće učiniti dobro.

Nakon uspešnog hakovanja računara, WannaCry pokušava da se proširi preko lokalne mreže na druge računare, na način računarskog crva. Encryptor skenira druge računare za istu ranjivost koja se može eksploatisati pomoću EternalBlue-a, a kada WannaCry pronađe ranjivu mašinu, on napadi mašinu i šifruje datoteke na njemu.Zbog toga, inficiranjem jednog računara, WannaCry može inficirati čitavu lokalnu mrežu i šifrovati sve računare na mreži. Zbog toga su velike kompanije najviše pretrpele napad WannaCry – što više računara na mreži, to je veća šteta.

WannaCry: Encryptor

Kao enkriptor, WannaCry (ponekad se zove WCrypt ili, bez ikakvog razumljivog razloga, WannaCry Decryptor) ponaša kao bilo koji drugi enkriptor; on šifrira datoteke na računaru i zahtijeva otkup za dešifrovanje. Najizraženije podseća na varijaciju zloglasnog CryptXXX trojanca.WannaCry šifrira datoteke različitih tipova (celokupna lista je ovdje) uključujući kancelarijske dokumente, slike, video zapise, arhive i druge formate datoteka koje potencijalno sadrže kritične korisničke podatke. Proširenja šifrovanih datoteka se preimenuju u .WCRY, a datoteke postaju potpuno nepristupačne.Nakon toga, Trojan menja desktop pozadinu na sliku koja sadrži informacije o infekciji i akcijama koje korisnik navodno mora da izvrši da bi povratio datoteke. WannaCry širi obaveštenja kao tekstualne datoteke sa istim informacijama preko foldera na računaru kako bi se osiguralo da korisnik primi poruku.

Kao i obično, akcije podrazumevaju prenošenje određene količine novca u bitcoins u novčanik počinilaca. Nakon toga, kažu, dešifrovat će sve datoteke. U početku, sajber kriminalci su tražili 300 dolara, ali su onda povećali ulog na 600 dolara.

U ovom slučaju, malefaktori pokušavaju da zastraše žrtve tako što navode da će se iznos otkupa povećati za tri dana – a, osim toga, nakon sedam dana datoteke neće biti moguće dešifrovati.

Kao i uvek, ne preporučujemo plaćanje otkupnine. Možda je najznačajniji razlog da se ne upustite jeste da nema garancije da će kriminalci dešifrovati vaše datoteke nakon primanja otkupnine. Zapravo, istraživači su pokazali da drugi cyberextortionisti ponekad jednostavno brišu korisničke podatke.

Kako je registracija domena obustavila infekciju – ali zašto je verovatno još gotovo

Interesantno je da je istraživač pod nazivom Malwaretech uspeo da suspenduje infekciju registracijom domena sa dugim i besmislenim imenom.Ispostavilo se da su neke verzije WannaCrya adresirale isti domen, a ako nisu dobili pozitivan odgovor, onda bi ugradili šifru i započeli svoj prljavi posao. Ako je postojao odgovor (tj. Ako je domen registrovan), onda će malware zaustaviti sve svoje aktivnosti.Nakon što je pronašao referencu za ovaj domen u trojanskom kodu, istraživač je registrovao domen, čime je suspendovao napad. U ostatku dana, domen se adresirao desetine hiljada puta, što znači da je desetine hiljada računara pošteđeno.

Postoji teorija da je ova funkcija ugrađena u WannaCry – kao prekidač – u slučaju da nešto nije u redu. Druga teorija, koju je prihvatio sam istraživač, jeste da je to način komplikacije analize ponašanja malvera. Testna okruženja koja se koriste u istraživanju često su dizajnirana tako da svaka domena vraća pozitivan odgovor; u takvim slučajevima, Trojan ne bi ništa uradio u okruženju za testiranje.

Nažalost, za nove verzije Trojanca, svi kriminalci moraju da promene ime domena naznačenog kao “prekidač” i infekcije će se nastaviti. Zbog toga je vrlo verovatno da će se izbacivanje WannaCry-a nastaviti.

Kako se braniti protiv WannaCry

Nažalost, trenutno ne postoji način za dešifrovanje datoteka koje su WannaCry šifrovane (međutim, naši istraživači su na njemu). Za sada, prevencija je jedina nada.

Evo nekoliko saveta o tome kako spriječiti infekciju i minimizirati štetu.

Ako već imate instalirano zaštitno rešenje Kaspersky Lab na vašem sistemu, onda preporučujemo da uradite sledeće: Ručno pokrenite skeniranje za kritična područja i ako rešenje otkrije MEM: Trojan.Win64.EquationDrug.gen (nažalost, naša antivirusna rešenja otkriti WannaCry), ukloniti i rebootirati vaš sistem.

Ako ste Kaspersky bezbednosni korisnik, uključite System Watcher. Bitno je boriti se protiv bilo kojih novih varijanti malvera koji se mogu pojaviti.

Instalirajte ispravke softvera. Ovaj slučaj očajnički poziva sve korisnike Windowsa da instaliraju sigurnosnu ispravku sistema MS17-010. Microsoft ga je čak objavio i za sisteme koji više nisu zvanično podržani, kao što su Windows XP ili Windows 2003. Ozbiljno ga instalirajte odmah; To je veoma važno.

Redovno kreirajte sigurnosne kopije datoteka i čuvajte kopije na uređajima za skladištenje podataka koji nisu konstantno povezani sa računarom. Ako imate skorašnju rezervnu kopiju, onda infekcija šifriora nije katastrofa; možete provesti nekoliko sati reinstaliranja operativnog sistema i aplikacija, zatim obnoviti svoje datoteke i nastaviti dalje. Ako ste previše zauzeti da koristite rezervnu kopiju, iskoristite rezervnu funkciju ugrađenu u Kaspersky Total Security, koja može automatizovati proces.

Koristite pouzdani antivirus. Kaspersky Internet Security može otkriti WannaCry lokalno i tokom pokušaja širenja preko mreže. Šta više, System Watcher, ugrađeni modul, može vratiti sve neželjene izmene, što znači da će sprečiti šifrovanje datoteka čak i za one verzije malvera koje još uvijek nisu u antivirusnim bazama podataka.

2 thoughts on “WannaCry epidemija”

Leave a Comment

Your email address will not be published. Required fields are marked *

Dežurstvo od 09 do 16h u prostoriji servisa

Fismod - Beograd

Koristimo "mali" godišni odmor od 29.07. do 03.08.2021